"Mobile Device Management op privételefoon schendt privacy"
Mobile Device Management (MDM) laat bedrijven de telefoons beheren die hun werknemers gebruiken, maar dit gaat ten koste van de privacy. Werknemers moeten dan ook geen MDM-oplossing op hun eigen telefoon accepteren, zo stelt software-engineer Christopher Demicoli.
Via Mobile Device Management is het mogelijk voor een beheerder om op afstand de telefoon te volgen, sms-berichten te lezen, foto's en video's te bekijken, de browsegeschiedenis op te vragen, het gebruik van bepaalde apps te blokkeren en het toestel op afstand te wissen of vergrendelen. Volgens Demicoli is er in principe niets mis met MDM. Het is zelfs een belangrijk onderdeel om bedrijfsgegevens te beschermen, aldus de engineer.
Het gaat alleen ten koste van de privacy en veel werknemers staan hier niet bij stil, zo merkt hij op. Organisaties kunnen wel zeggen dat ze bepaalde MDM-features niet zullen gebruiken, maar dat is volgens Demicoli niet voldoende. Het bedrijfsbeleid of de systeembeheerders kunnen namelijk veranderen, of de systeembeheerders of hun systemen kunnen gecompromitteerd raken. "Het is irrelevant welke van de spionagefeatures je organisatie belooft niet te zullen gebruiken. Zodra een MDM-profiel is geïnstalleerd kunnen ze alles doen wat ze willen en zijn het slechts mensen die bepalen waar de grens wordt getrokken."
De oplossing is volgens Demicoli eenvoudig, namelijk het niet opslaan van bedrijfsgegevens op de eigen privételefoon. Dergelijke data moet op een aparte bedrijfstelefoon worden opgeslagen, aldus de software-engineer. Hij adviseert werknemers dan ook om geen MDM-oplossing op een telefoon met privégegevens te installeren. Op Hacker News stelt dat een lezer dat het verstandig is voor iOS-gebruikers om een eigen MDM-profiel te installeren, aangezien dit de installatie van andere MDM-profielen, zoals een werkprofiel, voorkomt.
Reacties (22)
Voor mij is het heel simpel: mijn privé smartphone is en blijft privé. Ik laat niks managen door de baas. Als de baas MDM zou willen dan mag hij voor mij een telefoon organiseren die uitsluitend voor werk gebruikt wordt. Gelukkig heb ik een baas die ok is.
"Het is irrelevant welke van de spionagefeatures je organisatie belooft niet te zullen gebruiken. Zodra een MDM-profiel is geïnstalleerd kunnen ze alles doen wat ze willen en zijn het slechts mensen die bepalen waar de grens wordt getrokken."
Ik vind dat soort zaken wel degelijk relevant. Dergelijke beloftes, indien zwart op wit vastgelegd, zijn ook gewoon rechtsgeldig. Mijn werknemer heeft in het personeelshandboek bijvoorbeeld staan dat gegevens van onze toegangsbadges niet gebruikt zullen worden voor controle op aanwezigheid. Doet men dat toch, dat overtreedt men simpelweg regels.
Volgens deze onderzoeker is een toezegging dat zijn werkgever zijn bedrijfsauto niet volgt zeker irrelevant, omdat het in theorie wel mogelijk is om dit te doen, bijvoorbeeld middels GPS ? Afspraken vind ik wel degelijk belangrijk. En ja, daar dient men zich ook aan te houden.
"De oplossing is volgens Demicoli eenvoudig, namelijk het niet opslaan van bedrijfsgegevens op de eigen privételefoon."
Mijn prive telefoon zal ik nimmer onderwerpen aan MDM; dit is voor zaken die eigendom zijn van de werkgever.
Ik vind dat soort zaken wel degelijk relevant. Dergelijke beloftes, indien zwart op wit vastgelegd, zijn ook gewoon rechtsgeldig. Mijn werknemer heeft in het personeelshandboek bijvoorbeeld staan dat gegevens van onze toegangsbadges niet gebruikt zullen worden voor controle op aanwezigheid. Doet men dat toch, dat overtreedt men simpelweg regels.
Volgens deze onderzoeker is een toezegging dat zijn werkgever zijn bedrijfsauto niet volgt zeker irrelevant, omdat het in theorie wel mogelijk is om dit te doen, bijvoorbeeld middels GPS ? Afspraken vind ik wel degelijk belangrijk. En ja, daar dient men zich ook aan te houden.
"De oplossing is volgens Demicoli eenvoudig, namelijk het niet opslaan van bedrijfsgegevens op de eigen privételefoon."
Mijn prive telefoon zal ik nimmer onderwerpen aan MDM; dit is voor zaken die eigendom zijn van de werkgever.
Het bedrijfsbeleid of de systeembeheerders kunnen namelijk veranderen
Oja ? Dergelijke aanpassingen, eenzijdig, welke betrekking hebben op eigendommen van de werknemer, zijn helemaal niet rechtsgeldig. En doet mijn werkgever dat toch, dan overtreedt deze de wet. Volgens deze onderzoeker mag de werknemer zeker alles aanpassen, ongeacht juridische beperkingen.
Of er verandering is in de vraag wie de systeembeheerders zijn, dan is al helemaal niet relevant. Tenzij je rotte appels hebt, die regels hoe dan ook negeren. Een nieuwe systeembeheerder heeft zich immers gewoon te houden aan bestaand beleid.
22-01-2018, 12:40 door
sjonniev
Vandaar "Container-Only" in Sophos Mobile. "This makes it easy to provide access to corporate emails and documents while the users’ privacy remains protected."
Door sjonniev: Vandaar "Container-Only" in Sophos Mobile. "This makes it easy to provide access to corporate emails and documents while the users’ privacy remains protected."
ofwel MAM is de oplossing.
MDM: Mobile Device Management
MAM: Mobile Application Management
Vandaar "Container-Only" in Sophos Mobile. "This makes it easy to provide access to corporate emails and documents while the users’ privacy remains protected."
Heb jij dan werkelijk functionaliteit nodig om jouw prive toestel te onderwerpen aan monitoring door je werkgever ? Met of zonder container, ik laat dat niet toe. Het is mijn eigendom. Wil mijn werkgever monitoren, dan graag een bedrijfsmobiel.
Zodra een MDM-profiel is geïnstalleerd kunnen ze alles doen wat ze willen en zijn het slechts mensen die bepalen waar de grens wordt getrokken.
Dat is met veel andere zaken niet anders; beheerders kunnen ook mijn corporate mailbox uitlezen. Toch ga ik er niet vanuit dat zij dit doen, enkel omdat dit kan. Mochten ze het wel doen; grond voor ontslag op staande voet.
Deze onderzoeker gaat wel van het slechtste uit. Je collega's kunnen ook je auto stelen. Moet ik nu de hele dag mijn parkeerplek in de gaten houden, omdat zij dit in theorie zouden kunnen doen ?
Commentaar onder het originele artikel is wel aardig; gezien het aantal suggesties wat simpelweg niet plausibel is.
Zodra een MDM-profiel is geïnstalleerd kunnen ze alles doen wat ze willen en zijn het slechts mensen die bepalen waar de grens wordt getrokken
Zou deze onderzoeker op zijn laptop bereid zijn om bijvoorbeeld POP3 mail binnen te halen op het werk ? Immers zou een collega op hetzelfde moment bezig kunnen zijn met het sniffen van zijn verbinding, waardoor deze zijn credentials zou kunnen stelen ?
Immers is sniffen technisch mogelijk, en het zijn slechts mensen die bepalen of ze dit wel/niet doen.
Valt te zien welke oplossing je gebruikt natuurlijk. Bij ons is dat 'gewoon' Microsoft Intune en daar is et heel beperkt wat je kan zien: https://docs.microsoft.com/en-us/intune-user-help/what-info-can-your-company-see-when-you-enroll-your-device-in-intune
Door sjonniev: Vandaar "Container-Only" in Sophos Mobile. "This makes it easy to provide access to corporate emails and documents while the users’ privacy remains protected."
Zoiets heet bij Android (5.0+) een Work Profile. Daarbij kun je zelfs, onder bepaalde condities, werk- en priveversies van apps installeren. Zo voorkom je ook dat prive email in de workmailclient terecht komt, waar het alsnog gelezen kan worden.
Peter
22-01-2018, 14:33 door
sjonniev
Door Anoniem:
ofwel MAM is de oplossing.
MDM: Mobile Device Management
MAM: Mobile Application Management
Door sjonniev: Vandaar "Container-Only" in Sophos Mobile. "This makes it easy to provide access to corporate emails and documents while the users’ privacy remains protected."
ofwel MAM is de oplossing.
MDM: Mobile Device Management
MAM: Mobile Application Management
Aangevuld met Mobile Document Management :)
Kortom; EMM (Enterprise Mobility Management), een term die ook al weer zo goed als verouderd is.
22-01-2018, 14:36 door
sjonniev
Door Anoniem:
Heb jij dan werkelijk functionaliteit nodig om jouw prive toestel te onderwerpen aan monitoring door je werkgever ? Met of zonder container, ik laat dat niet toe. Het is mijn eigendom. Wil mijn werkgever monitoren, dan graag een bedrijfsmobiel.
Vandaar "Container-Only" in Sophos Mobile. "This makes it easy to provide access to corporate emails and documents while the users’ privacy remains protected."
Heb jij dan werkelijk functionaliteit nodig om jouw prive toestel te onderwerpen aan monitoring door je werkgever ? Met of zonder container, ik laat dat niet toe. Het is mijn eigendom. Wil mijn werkgever monitoren, dan graag een bedrijfsmobiel.
Er zijn ook mensen die geen zin hebben om met twee telefoons rond te lopen. Een bedrijfsmobiel is als het goed is helemaal dichtgetimmerd met DEP of KNOX, gecombineerd met EMM, dus daar kom je dan niet mee op twitter of facebook of zelfs security.nl.
Door Anoniem:
Heb jij dan werkelijk functionaliteit nodig om jouw prive toestel te onderwerpen aan monitoring door je werkgever ? Met of zonder container, ik laat dat niet toe. Het is mijn eigendom. Wil mijn werkgever monitoren, dan graag een bedrijfsmobiel.
Vandaar "Container-Only" in Sophos Mobile. "This makes it easy to provide access to corporate emails and documents while the users’ privacy remains protected."
Heb jij dan werkelijk functionaliteit nodig om jouw prive toestel te onderwerpen aan monitoring door je werkgever ? Met of zonder container, ik laat dat niet toe. Het is mijn eigendom. Wil mijn werkgever monitoren, dan graag een bedrijfsmobiel.
Ik zou eens zeggen verdiep je eens in dit soort MAM techniek. Juist wat jij noemt, lost dat op. Alles draait in een schil/sandbox, waardoor er niets in of out kan/mag zonder de toestemming van de beheerders. Ze hoeven dus helemaal geen controle over je telefoon, aangezien ze volledige controle hebben over de sandbox.
Daarnaast denk je nu echt dat een beheerder jou monitoort? 1 dat mag die helemaal niet. 2, hij heeft wel wat beters te doen.
Door sjonniev:
Er zijn ook mensen die geen zin hebben om met twee telefoons rond te lopen. Een bedrijfsmobiel is als het goed is helemaal dichtgetimmerd met DEP of KNOX, gecombineerd met EMM, dus daar kom je dan niet mee op twitter of facebook of zelfs security.nl.
Door Anoniem:
Heb jij dan werkelijk functionaliteit nodig om jouw prive toestel te onderwerpen aan monitoring door je werkgever ? Met of zonder container, ik laat dat niet toe. Het is mijn eigendom. Wil mijn werkgever monitoren, dan graag een bedrijfsmobiel.
Vandaar "Container-Only" in Sophos Mobile. "This makes it easy to provide access to corporate emails and documents while the users’ privacy remains protected."
Heb jij dan werkelijk functionaliteit nodig om jouw prive toestel te onderwerpen aan monitoring door je werkgever ? Met of zonder container, ik laat dat niet toe. Het is mijn eigendom. Wil mijn werkgever monitoren, dan graag een bedrijfsmobiel.
Er zijn ook mensen die geen zin hebben om met twee telefoons rond te lopen. Een bedrijfsmobiel is als het goed is helemaal dichtgetimmerd met DEP of KNOX, gecombineerd met EMM, dus daar kom je dan niet mee op twitter of facebook of zelfs security.nl.
Dat is voor mij ook de reden om gewoon mijn bedrijfstelefoon ook prive te gebruiken, ik heb geen zin om met twee telefoons te lopen. Mijn bedrijf eist een MDM applicatie om ook bedrijfsmail te kunnen lezen op de mobiel, ze kunnen inderdaad hier misbruik van maken maar dit gaat op basis van goed vertrouwen. Ik ben voor de rest helemaal vrij om apps te installeren en de telefoon te gebruiken zoals ik wil, wat ze afdwingen zijn een goede pincode en encryptie op de telefoon. Security moet veilig maar ook werkbaar zijn, helemaal dicht zetten voor prive gebruik is heel veilig maar er zijn dan maar weinig mensen die hun telefoon na werktijd dan nog aan laten staan schat ik zo in.
Er zijn ook mensen die geen zin hebben om met twee telefoons rond te lopen. Een bedrijfsmobiel is als het goed is helemaal dichtgetimmerd met DEP of KNOX, gecombineerd met EMM, dus daar kom je dan niet mee op twitter of facebook of zelfs security.nl.
Dat staat los van het feit dat ik mijn werkgever niet mijn prive devices laat monitoren. Kwestie van principe.
Mijn bedrijf eist een MDM applicatie om ook bedrijfsmail te kunnen lezen op de mobiel, ze kunnen inderdaad hier misbruik van maken maar dit gaat op basis van goed vertrouwen.
Mijn werkgever kan ook de sleutel eisen van mijn woonhuis; dat wil nog niet zeggen dat ik die sleutel ook ga geven.
Mijn bedrijf eist een MDM applicatie om ook bedrijfsmail te kunnen lezen op de mobiel, ze kunnen inderdaad hier misbruik van maken maar dit gaat op basis van goed vertrouwen.
Mijn werkgever kan ook de sleutel eisen van mijn woonhuis; dat wil nog niet zeggen dat ik die sleutel ook ga geven.De nuance is er wel wat uitgehaald. De basis MDM van Google Suite is beperkt (ware het niet dat de client wel veel rechten vraagt), maar omdat uit te nutten heb je een additionele EMM nodig. En ook intune is een prima systeem alsook de MDM oplossing van Apple.
Wanneer een werkgever BYOD toestaat, zul je als werknemer ook moeten onderwerpen aan de MDM-policy. Wil je dat niet, dan zal de werkgever gewoon een telefoon van de zaak moeten geven. Een bedrijf schendt de Wbp danwel de GDPR door BYOD toe te staan zonder MDM. Er is immers geen controle meer over de verwerking van informatie, ook niet bij diefstal/verlies (remote wipe).
Ik zou geen klant van een bedrijf willen zijn die BYOD toe staat zonder MDM.
MAM is ook cool. In de kern zit dit ook o.a. in Android door een aparte work-profile. Werkt prima. Sophos biedt het ook, KNOX volgens mij ook, en de andere EMMs ook.
Wanneer een werkgever BYOD toestaat, zul je als werknemer ook moeten onderwerpen aan de MDM-policy. Wil je dat niet, dan zal de werkgever gewoon een telefoon van de zaak moeten geven. Een bedrijf schendt de Wbp danwel de GDPR door BYOD toe te staan zonder MDM. Er is immers geen controle meer over de verwerking van informatie, ook niet bij diefstal/verlies (remote wipe).
Ik zou geen klant van een bedrijf willen zijn die BYOD toe staat zonder MDM.
MAM is ook cool. In de kern zit dit ook o.a. in Android door een aparte work-profile. Werkt prima. Sophos biedt het ook, KNOX volgens mij ook, en de andere EMMs ook.
als je MDM leukt vind kun je beter rechtstreeks voor de CIA afdeling Nederland gaan werken
ze hebben handen te kort om de 30.000 burgerpionnen te managen
het is dat het dwangarbeid is anders had ik me wel opgegeven
ze hebben handen te kort om de 30.000 burgerpionnen te managen
het is dat het dwangarbeid is anders had ik me wel opgegeven
Door [Account Verwijderd]:
Wanneer een werkgever BYOD toestaat, zul je als werknemer ook moeten onderwerpen aan de MDM-policy. Wil je dat niet, dan zal de werkgever gewoon een telefoon van de zaak moeten geven. Een bedrijf schendt de Wbp danwel de GDPR door BYOD toe te staan zonder MDM. Er is immers geen controle meer over de verwerking van informatie, ook niet bij diefstal/verlies (remote wipe).
Ik zou geen klant van een bedrijf willen zijn die BYOD toe staat zonder MDM.
Wanneer een werkgever BYOD toestaat, zul je als werknemer ook moeten onderwerpen aan de MDM-policy. Wil je dat niet, dan zal de werkgever gewoon een telefoon van de zaak moeten geven. Een bedrijf schendt de Wbp danwel de GDPR door BYOD toe te staan zonder MDM. Er is immers geen controle meer over de verwerking van informatie, ook niet bij diefstal/verlies (remote wipe).
Ik zou geen klant van een bedrijf willen zijn die BYOD toe staat zonder MDM.
Precies!
Ik begrijp sommigen van jullie niet, als je er voor kiest om je prive telefoon te gebruiken voor werk, bijvoorbeeld koppelen van de zakelijke e-mail en hebben van zakelijke persoonsgegevens in de vorm van een adresboek. Dan komen er (privacy gevoelige) bedrijfs gegevens op jouw telefoon, en uiteraard heeft het bedrijf hier iets over te zeggen. Neemt verder niet weg dat sommige MDM oplossingen en bedrijfs policies die technisch worden afgedwongen wel wat ver kunnen gaan. Er zijn best goede container achtige oplossingen die niet zulke sterke algemene policies nodig hebben.
Dus voor mij is het echt simpel: als je toestaat dat bedrijfs gegevens op jouw mobiele apparaat komen te staan dan moet je die ook door het bedrijf laten beveiligen. Het zijn immers niet jouw gegevens. En dus de MDM policies en software accepteren. Dan kun je het alleen nog hebben over de oplossing als je vind dat het te ver gaat.
Als je dat niet wilt omdat het "jouw" telefoon is, dan zeg je nee tegen de policy en moet je ook niet zeuren als je een 2e bedrijfs telefoon krijgt of zakelijk niet bereikbaar bent.
Dus voor mij is het echt simpel: als je toestaat dat bedrijfs gegevens op jouw mobiele apparaat komen te staan dan moet je die ook door het bedrijf laten beveiligen. Het zijn immers niet jouw gegevens. En dus de MDM policies en software accepteren. Dan kun je het alleen nog hebben over de oplossing als je vind dat het te ver gaat.
Als je dat niet wilt omdat het "jouw" telefoon is, dan zeg je nee tegen de policy en moet je ook niet zeuren als je een 2e bedrijfs telefoon krijgt of zakelijk niet bereikbaar bent.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
